摘要:使用認(rèn)證配置可以使用的進(jìn)行認(rèn)證在為創(chuàng)建賬號(hào),用于調(diào)用找到的以及把圖中的以及用解碼得到證書(shū)使用配置認(rèn)證是上圖中用解碼的值是的地址是上圖中用解碼的值存儲(chǔ)的文件路徑����,允許調(diào)用的使用的認(rèn)證創(chuàng)建認(rèn)證對(duì)應(yīng)里面創(chuàng)建的��,對(duì)應(yīng)里面的
vault使用kubernetes認(rèn)證
配置
vault可以使用kubernetes的serviceaccount進(jìn)行認(rèn)證
#在kubernetes為vault創(chuàng)建serviceaccount賬號(hào),用于調(diào)用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secret |grep vault-auth-token |awk "{print $1}"|xargs kubectl get -o yaml secret
把圖中的ca.crt以及token用base64解碼得到證書(shū)
# 使用vault-cli配置kubernetes認(rèn)證
vault auth enable kubernetes
#token_reviewer_jwt是上圖中token用base64解碼的值
# kubernetes_host是kubernetes-api-server的地址
# kubernetes_ca_cert是上圖中ca.crt用base64解碼的值存儲(chǔ)的文件路徑�,
vault write auth/kubernetes/config
token_reviewer_jwt="reviewer_service_account_jwt"
kubernetes_host=https://192.168.99.100:8443
kubernetes_ca_cert=@ca.crt
# 允許vault調(diào)用kubernetes的sa-api
# cat rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
name: role-tokenreview-binding
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: system:auth-delegator
subjects:
- kind: ServiceAccount
name: vault-auth
namespace: default
#kubectl apply -f rbac.yaml
使用kubernetes的serviceaccount認(rèn)證
vault創(chuàng)建role
vault write auth/kubernetes/role/demo
bound_service_account_names=vault-auth
bound_service_account_namespaces=default
policies=default
ttl=1h
認(rèn)證
#role對(duì)應(yīng)vault里面創(chuàng)建的role�����,jwt對(duì)應(yīng)kubernetes里面serviceaccount的token
curl https://vault:8200/auth/kubernetes/login -XPOST -d "{"role": "demo", "jwt": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}"
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/11349.html
